SANGFORACV210上网行为管理测试方案模板全面版.docx

SANGFORACV210上网行为管理测试方案模板全面版.docx

《SANGFORACV210上网行为管理测试方案模板全面版.docx》由会员分享，可在线阅读，更多相关《SANGFORACV210上网行为管理测试方案模板全面版.docx（65页珍藏版）》请在冰豆网上搜索。

SANGFORACV210上网行为管理测试方案模板全面版

深信服上网行为管理测试方案

深信服科技有限公司

20XX年XX月XX日

第1章测试环境要求

1.1硬件要求

●深信服上网行为管理设备：

AC-5150（M5100-AC）1台。

●PC服务器1台（安装AD域和安装数据中心）

●电脑2台（测试客户端）

●思博伦通信公司的Avalanche和Reflect，用于测试性能（可选）

1.2软件要求

●PC的操作系统建议为Windows2000、WindowXP或Windows2003，安装有Foxmail或Outlook，QQ、MSN和BT软件、PPLIVE或PPstream、FTP客户端工具；

●在PC服务器上安装数据中心。

1.3网络配置

测试环境网络部署图如下：

第2章功能测试汇总

测试项目

测试分项

测试结果

备注

部署模式

旁路部署

满足不满足

多路桥接

满足不满足

用户认证与管理

三层网络环境中无插件实现IP-MAC绑定

满足不满足

USB-Key认证

满足不满足

无需客户端软件的AD单点登录

满足不满足

指定IP段用户必须使用单点登录

满足不满足

未创建账号用户的认证

满足不满足

认证未通过用户的处理

满足不满足

从AD服务器读取用户组织结构

满足不满足

用户组织结构与AD的自动同步

满足不满足

冻结用户及管理

满足不满足

管理员分级管理

满足不满足

终端识别

终端操作系统补丁识别

满足不满足

对注册表键值的识别

满足不满足

对硬盘文件的检查和识别

满足不满足

识别终端的进程

满足不满足

多条规则关系或/与

满足不满足

应用控制

SSL加密网址的识别与封堵

满足不满足

非80端口网页访问行为的识别

满足不满足

搜索引擎输入关键字的过滤

满足不满足

网页智能学习与分类

满足不满足

基于特征的外发文件识别和告警

满足不满足

URL地址的动作过滤

满足不满足

网页正文关键字识别和过滤

满足不满足

禁止QQ传文件、封堵QQ登录和记录QQ聊天内容

满足不满足

识别和控制移动飞信的使用

满足不满足

Skype的封堵及聊天内容监控

满足不满足

不常见P2P软件的识别和封堵

满足不满足

语音视频识别

满足不满足

目标域名免控制

满足不满足

新浪视频的识别与封堵

满足不满足

上网策略管理

上网时长控制

满足不满足

子组支持继承父组的上网策略

满足不满足

子组从父组强制继承的上网策略将不能修改、删除、绕过

满足不满足

流量管理

基于应用类型的流控

满足不满足

基于文件类型的流控

满足不满足

基于网站类型的流控

满足不满足

Wan->lan的流控

满足不满足

以公网IP为用户的带宽划分与分配

满足不满足

邮件过滤与审计

根据发件人地址进行邮件过滤

满足不满足

仅允许指定后缀的邮件地址发送邮件

满足不满足

过滤含有指定关键字的邮件

满足不满足

过滤含有指定类型附件的邮件

满足不满足

根据收件人地址对邮件进行延迟审计

满足不满足

根据外发邮件大小、附件个数及邮件标题和内容所含指定关键字延迟审计

满足不满足

应用审计与报表

管理员分级审计用户日志

满足不满足

记录被访问网页的网页标题

满足不满足

记录含有指定关键字的网页内容

满足不满足

非TCP21端口行为的识别和记录

满足不满足

QQ聊天内容记录

满足不满足

Skype聊天内容记录

满足不满足

MSNShell聊天内容记录

满足不满足

时间审计

满足不满足

Webmail附件的记录和审计

满足不满足

WAN->LAN行为审计

满足不满足

数据中心认证key测试

满足不满足

内容检索功能测试

满足不满足

主题订阅功能测试

满足不满足

基于硬件方式的免审计功能

满足不满足

对比报表功能测试

满足不满足

将报表、统计等自定义成链接测试

满足不满足

网络可靠、可用的保障能力

防火墙功能

满足不满足

ARP欺骗防护功能

满足不满足

防DOS攻击功能

满足不满足

第3章

功能测试用例

3.1部署模式

被测设备只有支持包括旁路模式、多路桥接在内的多种部署方式，才能够更加完善的满足客户复杂的网络环境。

3.1.1旁路模式

测试编号

测试时间

测试项目

部署模式

测试人员

测试分项

旁路部署

测试目的

部分组织结构网络环境复杂，或者新设备的部署并不想对现有网络做任何更改，因为网络的更改必然存在发生故障的风险，同时在网络中串接设备不仅影响网络还可能因为设备的宕机而中断整个网络。

在这种情况下，旁路部署方式为用户提供了理想的解决方案：

既不对网络结构做任何改动，又能实现全面的行为审计记录和部分控制功能。

测试方法

1、搭建网络环境，设备以旁路模式部署；

2、配置设备开启审计功能；

3、内网用户访问外网资源，如访问，在设备上查看访问日志；

4、配置设备URL过滤，禁止访问；

5、内网用户访问，查看是否能够正常访问。

预期结果

被测设备支持旁路模式部署，并且能够实现全面的行为记录和部分控制功能

测试结果

用户访问XX网站的行为被设备全面记录，记录内容包括URL地址、网页标题、网页内容£满足£不满足

用户不能访问被过滤的网站£满足£不满足

测试结论

所测试产品是否满足该项功能要求

£满足£不满足

3.1.2多路桥接

测试编号

测试时间

测试项目

部署模式

测试人员

测试分项

多路桥接

测试目的

网络已经在组织的日常运作中扮演着越来越重要的角色，因此部分组织内部网络往往采用双防火墙、双交换机、VRRP、HSRP等双机、双线路冗余部署，从而避免单机、单线路可能成的网络可靠性下降的问题。

对于此类双机、双线路网络环境下部署上网行为管理设备显然需要能够至少支持网桥模式下的“双进双出”功能，从在双链路上实现上网行为的全面管控。

测试方法

1、搭建网络环境，设备的LAN1、WAN1接口分别连接PC1、PC2；LAN2、WAN2接口则分别连接PC3、PC4

2、配置设备开启多路桥接功能；

3、用PC1pingPC2；

4、用PC3pingPC4；

预期结果

PC1pingPC2成功；PC3pingPC4成功。

测试结果

PC1pingPC2成功£满足£不满足

PC3pingPC4成功£满足£不满足

测试结论

所测试产品是否满足该项功能要求

£满足£不满足

3.2用户识别测试

上网行为即内网用户使用终端设备如电脑访问和使用各种互联网资源而形成，所以对用户的身份识别是进一步管理的就基础。

对用户身份的识别必须支持多种方式，以便于组织机构灵活采用和部署实施。

3.2.1三层IP/MAC绑定

测试编号

测试时间

测试项目

用户认证方式

测试人员

测试分项

三层IP/MAC绑定

测试目的

传统的IP/MAC绑定是指二层网络环境下的绑定，但大型组织往往是三层网络环境，此时二层IP/MAC绑定无法有效的满足高端客户的需求。

而IP/MAC绑定又是高端客户所必须的功能，所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题，便于高端客户的网络管理、用户识别和认证。

测试方法

1、设备以网关模式部署，内网口连接三层设备，三层设备下接用户A；

2、在设备上创建用户帐号，并启用IP/MAC绑定，填写三层设备下A用户的IP和其对应的MAC地址；

3、配置设备以确保A用户访问外网资源，且访问成功；

4、更改A用户的IP地址，然后再访问互联网资源，测试是否成功

5、用户B使用另一台终端设备下接于三层设备，设置B的IP为A的IP；

5、用户B访问外网资源，测试访问结果是否成功。

预期结果

在高端客户的三层网络环境中也能够实现终端设备的IP/MAC绑定功能，方便设备的实际部署和对接入用户的身份识别

测试结果

A用户在更改IP后不能访问Internet£满足£不满足

B用户使用A用户的IP地址访问Internet不成功£满足£不满足

测试结论

所测试产品是否满足该项功能要求

£满足£不满足

3.2.2USB-Key认证

测试编号

测试时间

测试项目

用户认证方式

测试人员

测试分项

USB-Key认证

测试目的

为了防范高层领导、高访问权限用户的帐号被恶意用户窃取和破解，有必要采用类似网上银行的USB-Key硬件身份认证方式以提供更安全的保护手段，USB-Key内包含了用户的相关身份认证信息，高层领导、高访问权限的用户可以方便的实现即插即用的身份认证

测试方法

1、设备上创建用户，启用USB-Key认证方式，并输入相关密码等身份认证信息写入USB-Key；

2、内网用户不使用USB-Key直接访问外网，失败；

3、内网用户使用USB-Key访问外网资源，成功；

4、内网用户再插入USB-Key后多次输入错误的PIN码，模仿暴力破解过程，验证该USB-Key是否因多次密码错而自动锁定；

预期结果

用户采用USB-Key身份认证方式确保身份的唯一性和防猜解性，同时暴力猜解USB-Key的PIN码将导致该USB-Key锁定。

测试结果

不使用USB-Key访问外网失败£满足£不满足

使用USB-Key通过认证后访问外网成功£满足£不满足

多次暴力猜解USB-Key的PIN码导致该Key锁定£满足£不满足

测试结论

所测试产品是否满足该项功能要求

£满足£不满足

3.2.3AD单点登录

测试编号

测试时间

测试项目

用户认证方式

测试人员

测试分项

无需客户端软件的AD单点登录

测试目的

大型组织机构内网往往采用了AD域控体系实现集中认证、集中授权，内网员工通常需要以域帐号登录操作系统、访问内网不同的业务系统等。

在部署了上网行为管理设备后，如果能够实现员工通过域帐号登录操作系统后自动通过上网行为管理设备的认证，将极大的方便员工使用。

但是如果在实现AD单点登录时如果需要终端用户安装客户端软件，那么该客户端软件的分发、安装、更新、维护等必将给IT部门带来极大工作负担。

所以本次事项测试被测设备是否无需客户端软件即可实现AD单点登录功能。

测试方法

配置设备AD服务器的相关设置

配置设备上AD单点登录的相关设置

用户操作系统无需安装任何AD单点登录客户端软件

用户采用域帐号登录操作系统，再访问互联网，测试是否需要上网行为管理设备的认证

测试是否能够成功访问互联网

预期结果

用户